SAP-Sicherheitshinweise Oktober 2019: Nur neun neue Hinweise, aber zwei HotNews

Zu den Höhepunkten der Analyse der SAP-Sicherheitshinweise vom Oktober gehören:

• Zwei von SAP veröffentlichte HotNews-Meldungen – Kritische Sicherheitslücken mit CVSS-Werten von 9,3 und 9,1 behoben
• Wichtiger Hinweis zur Sicherheitslücke „Binary Planting“– Der von mehreren SAP-Produkten verwendete Suchalgorithmus ermöglicht vielfältige Angriffsmöglichkeiten 
• Sicherheitslücken durch Cross-Site-Scripting sind nach wie vor ein wichtiges Thema– SAP CRM, SAP Financial Consolidation und SAP Business Objects sind davon betroffen 

Mit nur neun neuen und einem aktualisierten Sicherheitshinweis hat SAP für Oktober 2019 eine ungewöhnlich geringe Anzahl an Sicherheitshinweisen veröffentlicht. Dies ist die niedrigste Zahl neu veröffentlichter Hinweise seit fünf Jahren. Dennoch verdient dieser Patch-Tag mit zwei HotNews-Hinweisen und einem Hinweis mit hoher Priorität besondere Aufmerksamkeit, da ein Angreifer für einen erfolgreichen Angriff lediglich eine einzige Sicherheitslücke benötigt.

Bevor wir die wichtigsten Hinweise im Detail beschreiben, bietet sich ein „ruhiger“ Monat als gute Gelegenheit, alle SAP-Kunden daran zu erinnern, dass nicht mehr viel Zeit bleibt, um auf die neue SAP-Support-Backbone-Infrastruktur umzustellen und die Transaktion SNOTE für die Verarbeitung digital signierter SAP-Hinweise zu aktivieren! Weitere Informationen finden Sie hier: Umgang mit digital signierten Hinweisen und Anbindung an das SAP-Support-Backbone.

HotNews-Hinweis zum AS2-Adapter 

Der SAP-Sicherheitshinweis mit der höchsten CVSS-Bewertung in diesem Monat ist Hinweis Nr. 2826015 mit dem Titel „Fehlende Authentifizierungsprüfung im AS2-Adapter des B2B-Add-ons für SAP NetWeaver Process Integration“.

Der AS2-Adapter wird in SAP PI für die Kommunikation mit Geschäftspartnern verwendet. Er ermöglicht die sichere Übertragung von Geschäftsdokumenten über HTTP und S/MIME im Internet. Der Adapter bietet einen umfassenden Satz an Datensicherheitsfunktionen, insbesondere in Bezug auf Datenvertraulichkeit und Datenauthentizität, die speziell auf das B2B-Handelsumfeld ausgerichtet sind. Die Konfiguration des AS2-Adapters lässt zwei verschiedene Sicherheitsanbieter zu. Je nach ausgewähltem Anbieter besteht eine Sicherheitslücke durch fehlende Authentifizierung, die zum Diebstahl oder zur Manipulation sensibler Daten sowie zum Zugriff auf administrative und andere privilegierte Funktionen führen kann. Weitere Informationen zum betroffenen Sicherheitsanbieter finden Sie im entsprechenden Sicherheitshinweis.

Der CVSS-Wert von 9,3 spiegelt wider, dass die Ausnutzung dieser Sicherheitslücke nur einen sehr geringen Aufwand erfordert, keine besonderen Berechtigungen benötigt und aus der Ferne über das Netzwerk initiiert werden kann.  

Der zweite HotNews-Hinweis befasst sich mit einer Sicherheitslücke in SAP Landscape Management Enterprise 

Heute wurde mit dem SAP-Sicherheitshinweis Nr. 2828682 eine kritische Sicherheitslücke im Zusammenhang mit der Offenlegung von Informationenfür SAP Landscape Management Enterprise veröffentlicht, eine separat lizenzierte SAP-Softwarekomponente, die eine zentrale Benutzeroberfläche für die Verwaltung und den Betrieb heterogener und hybrider SAP-Landschaften bereitstellt.

SAP Landscape Management Enterprise ermöglicht die Definition benutzerdefinierter Vorgänge, wie beispielsweise Datenbankaktualisierungen. Jedem benutzerdefinierten Vorgang ist ein Provider zugeordnet, der Informationen zum verwendeten Skript und andere Eigenschaften enthält. Sie können einem solchen Provider auch weitere benutzerdefinierte Parameter hinzufügen. Der SAP-Sicherheitshinweis Nr.2828682 weist auf ein Risiko der Offenlegung von Informationenhin , wenn diese benutzerdefinierten Parameter bestimmte Bedingungen erfüllen. SAP stuft die allgemeinen Bedingungen für das Vorliegen der Schwachstelle als „selten“ ein. Dennoch wird sie mit einem CVSS-Score von 9,1 bewertet, da die möglichen Auswirkungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit hoch sind.

Sicherheitslücke durch „Binary Planting“ in mehreren SAP-Softwareprodukten

Der SAP-Sicherheitshinweis Nr. 2792430mit hoher Priorität und dem Titel „Binary-Planting-Sicherheitslücke in SAP SQL Anywhere, SAP IQ und SAP Dynamic Tiering“ beschreibt eine weit verbreitete Sicherheitslücke im Dateisuchalgorithmus dieser Produkte. Der Algorithmus durchsucht zu viele Verzeichnisse, selbst wenn diese außerhalb des Anwendungsbereichs liegen. Mögliche Auswirkungen sind Pfadtraversierungen und Verzeichnisaufstiege, wodurch ein Angreifer beliebige Dateien des Systems lesen, überschreiben, löschen und offenlegen kann. Dies kann auch zu DLL-Hijacking sowie zu einer Rechteausweitung führen. Der einzige Grund, warum dies kein CVSS-9+-Kandidat ist, liegt darin, dass ein Angreifer Zugriff auf das lokale System haben muss, um die Schwachstelle auszunutzen.

Zusammenfassung und Schlussfolgerungen

Wie bereits im Titel erwähnt, gibt es diesen Monat besonders wenige Korrekturen für SAP-Produkte. Da es jedoch zwei „Hot News“ und einen Hinweis mit hoher Priorität gibt, sollten die Hinweise dieses Monats sorgfältig geprüft und die kritischsten davon entsprechend priorisiert werden.

Schließlich machen die drei gemeldeten Cross-Site-Scripting-Schwachstellen und die zwei Schwachstellen aufgrund fehlender Autorisierung in verschiedenen SAP-Softwareprodukten erneut den Großteil der veröffentlichten Probleme aus. Dies sollte für alle SAP-Kunden ein Weckruf sein, ihren benutzerdefinierten Code auf solche Schwachstellen zu überprüfen. Im Vergleich zu den schwerwiegenden Auswirkungen dieser Schwachstellen ist der Aufwand für deren Behebung durchaus vertretbar:  

Wie immer arbeiten die OnapsisResearch Labs bereits daran, die Platform zu aktualisieren und diese neu veröffentlichten Sicherheitslücken in das Produkt zu integrieren, damit unsere Kunden bei ihren Sicherheitsüberprüfungen fehlende Hinweise erkennen können.

Wenn Sie mehr über die SAP-Sicherheitshinweise vom Oktober 2019 erfahren möchten, nehmen Sie am kommenden Webinar „SAP Patch Day Review“ am Dienstag, dem 15. Oktober, teil. Die Onapsis Research Labs die Patches vom Oktober analysieren und erläutern, wie Sie diese in Ihren SAP-Systemen implementieren können.

Wenn Sie weitere Informationen zu den aktuellen SAP-Sicherheitsproblemen erhalten und über unsere kontinuierlichen Bemühungen zum Wissensaustausch mit der Sicherheits-Community auf dem Laufenden bleiben möchten, abonnieren Sie unseren monatlichen „Defender’s Digest Onapsis“-Newsletter.